记一次主机入侵攻防大战:firewalld防火墙指定的IP段的端口访问控制

版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢

一、背景

一大早来公司,登录那台暴露在外网的服务器,登录成功的时候,看到160000+次登录失败的记录,看到这个我和我的小伙伴们都惊呆了,是谁那么执着?小伙伴还开玩笑说是不是谁跟你有世仇啊,这么搞你!来活了,我的服务器我做主,搞起,who怕who?

二、具体操作

1、last看一下是否有异常ip及账户登录记录.

[root@DCGH ~]# last -100
ivandu pts/0        139.130.99.123    Tue Apr 24 20:53   still logged in   
ivandu pts/0        139.129.0.194      Tue Apr 24 19:13 - 19:35  (00:21)    
ivandu pts/1        139.129.0.194      Tue Apr 24 18:02 - 19:35  (01:33)    
ivandu pts/1        139.129.0.194      Tue Apr 24 11:30 - 14:24  (02:53)    
ivandu pts/0        139.129.0.194      Tue Apr 24 11:11 - 14:24  (03:13)    
reboot   system boot  3.10.0-693.17.1. Tue Apr 24 11:10 - 21:45  (10:34)    
ivandu pts/2        139.129.0.194      Tue Apr 24 11:04 - 11:04  (00:00)    
ivandu pts/1        139.129.0.194      Tue Apr 24 10:26 - 11:10  (00:44)    
root     pts/0        139.129.0.194      Tue Apr 24 10:19 - down   (00:51)   
reboot   system boot  3.10.0-693.17.1. Tue Apr 24 10:18 - 11:10  (00:51)
.....省略一些

全是熟悉的IP,没有异常!很好!

2.创建新用户,用于切换到root来操作,也可以用命令visudo给该用户配置相关的sudo权限,本例中就直接用此账户su到root了(此处可以参见我之前的加固及sodu相关的文章)。

[root@CLDevOps ~]# useradd -M ivandu
[root@CLDevOps ~]# passwd ivandu
Changing password for user ivandu.
New password: 
BAD PASSWORD: The password is shorter than 7 characters
Retype new password: 
passwd: all authentication tokens updated successfully.

3.禁止root账户通过ssh来远程登录,编辑/etc/ssh/sshd_config,禁止root用户登录。

[root@CLDevOps ~]# sed -i "/^PermitRootLogin/c\PermitRootLogin no" /etc/ssh/sshd_config
[root@CLDevOps ~]# systemctl restart sshd

4.退出root登录,使用新建用户ivandu来登录。此处为了再次还原当时的处置过程新建的用户ivandu,本人一直有禁止root登录的习惯,希望大家也养成这样的习惯。

Could not chdir to home directory /home/ivandu: No such file or directory
-bash-4.2$ su - root
Password: 
Last login: Tue Apr 24 21:47:54 CST 2018 on pts/0
Last failed login: Tue Apr 24 22:12:33 CST 2018 from 42.7.26.88 on ssh:notty
There were 403 failed login attempts since the last successful login.

大家看一下,是不是非常疯狂!一会儿的功夫,又是几百次登录尝试。

5.开始防火墙设置,添加指定网段对ssh所用的端口访问权限。

[root@CLDevOps ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="139.130.99.0/24" port protocol="tcp" port="22" accept"
success
[root@CLDevOps ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="139.129.0.0/24" port protocol="tcp" port="22" accept"
success

6.移除原来firewalld中ssh相关规则,重载firewalld。

[root@CLDevOps ~]# firewall-cmd --permanent --remove-service=ssh
success
[root@CLDevOps ~]# firewall-cmd --reload
success

7.现在可以看一下,指定网段外的ip的22端口是否同,我找了另一台阿里云的机器试了一下,效果如下:

[root@heynick ~]# telnet 106.99.233.115 22
Trying 106.99.233.115...
telnet: connect to address 167.99.233.15: No route to host

8.继续看戏,看一下日志。

[root@CLDevOps ~]# journalctl -ex
Apr 24 22:30:29 CLDevOps sshd[20475]: Failed password for root from 42.7.26.88 port 31228 ssh2
Apr 24 22:30:30 CLDevOps unix_chkpwd[20516]: password check failed for user (root)
Apr 24 22:30:30 CLDevOps sshd[20475]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Apr 24 22:30:31 CLDevOps unix_chkpwd[20517]: password check failed for user (root)
Apr 24 22:30:31 CLDevOps sshd[20479]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.159  user=root
Apr 24 22:30:31 CLDevOps sshd[20479]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Apr 24 22:30:32 CLDevOps sshd[20475]: Failed password for root from 42.7.26.88 port 31228 ssh2
Apr 24 22:30:33 CLDevOps unix_chkpwd[20518]: password check failed for user (root)
Apr 24 22:30:33 CLDevOps sshd[20475]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Apr 24 22:30:33 CLDevOps sshd[20479]: Failed password for root from 58.218.198.159 port 26800 ssh2
Apr 24 22:30:35 CLDevOps sshd[20475]: Failed password for root from 42.7.26.88 port 31228 ssh2
Apr 24 22:30:35 CLDevOps sshd[20475]: error: maximum authentication attempts exceeded for root from 42.7.26.88 port 31228 ssh2 [preauth]
Apr 24 22:30:35 CLDevOps sshd[20475]: Disconnecting: Too many authentication failures [preauth]
Apr 24 22:30:35 CLDevOps sshd[20475]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=42.7.26.88  user=root
Apr 24 22:30:35 CLDevOps sshd[20475]: PAM service(sshd) ignoring max retries; 6 > 3
Apr 24 22:30:38 CLDevOps sshd[20479]: Received disconnect from 58.218.198.159 port 26800:11:  [preauth]
Apr 24 22:30:38 CLDevOps sshd[20479]: Disconnected from 58.218.198.159 port 26800 [preauth]

依然还是辣么疯狂!变着ip来搞我呢!早上还换着用户呢!哈哈!

当然我这台机器上的服务监听的其他端口我也是开放着的,那些就没必要怕了,遇到情况另当别论。

9.如果别人只用固定ip来攻击咱,我们单独封锁那个ip就行啦,命令这样的,下面我们来试一下封锁ip:58.218.198.159

[root@CLDevOps ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="58.218.198.159" port protocol="tcp" port="22" drop"
success
[root@CLDevOps ~]# firewall-cmd --reload
success
[root@CLDevOps ~]# firewall-cmd --list-rich-rule
rule family="ipv4" source address="139.130.99.0/24" port port="22" protocol="tcp" accept
rule family="ipv4" source address="139.129.0.0/24" port port="22" protocol="tcp" accept
rule family="ipv4" source address="58.218.198.159" port port="22" protocol="tcp" drop

三、总结

1.要养成良好的习惯,不要干啥只会用root!

2.设置一个复杂度比较高的密码。

3.安全加固很有必要。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏杨建荣的学习笔记

大量redo生成的问题原因及改进(r6笔记第50天)

接着上次分享的关于数据库无法登录的原因http://blog.itpub.net/23718752/viewspace-1791089/ 其实最终还是因为在短期...

30660
来自专栏一个会写诗的程序员的博客

《Spring Boot极简教程》第8章 Spring Boot集成Groovy,Grails开发第8章 Spring Boot集成Groovy,Grails开发小结参考资料

本章介绍Spring Boot集成Groovy,Grails开发。我们将开发一个极简版的pms(项目管理系统)。

19620
来自专栏沃趣科技

ASM 翻译系列第三十八弹:ASM数据清理

原作者:Bane Radulovic 译者: 魏兴华 审核: 魏兴华 DBGeeK社区联合出品 原文链接:http://asmsupportguy....

291100
来自专栏王大锤

iOS AFNetworking “Request failed: unacceptable content-type: text/html”问题

44770
来自专栏编程坑太多

『高级篇』docker之开发课程EdgeService(16)

PS:微服务跟之前说的一样就是互相通过RPC的方式进行通信,之间有自己的数据库,只是RPC暴露接口的方式来获取其他的微服务之间的数据。

9130
来自专栏java闲聊

Netty入门(一)

在文章开始之前首先明确一个问题,为什么要使用Netty,Netty解决了什么问题,围绕着这个问题我们开始本篇文章的学习

17220
来自专栏Ryan Miao

SpringCloud2.0入门3-新的eureka依赖

Springboot2.0推出有一段时间了,是要学习1.5+还是从2.0开始?犹豫的原因是资料不全,目前现有的资料大部分是1.0的。但作为学习者,肯定要学习最新...

14910
来自专栏菩提树下的杨过

spring cloud:Edgware.RELEASE版本hystrix超时新坑

升级到Edgware.RELEASE发现,zuul中不管如何设置hystrix的超时时间均不起作用,仍然是默认的1000ms.  降回低版本后正常,但是低版本的...

320100
来自专栏SpringBoot 核心技术

第三十二章:如何获取SpringBoot项目的applicationContext对象

306110
来自专栏黑白安全

Kali Linux渗透之获取主机名、MAC

------Kali Linux无线渗透之主机名、MAC与wifi信息获取------

29640

扫码关注云+社区

领取腾讯云代金券